为什么 https 比 http 更安全？

Question

近两年来，HTTPS 的风头远远盖过 HTTP。各大平台纷纷开启了 HTTPS 安全协议模式。细心的网友们可能已经注意到，访问常用的网站如淘宝或百度的时候，地址栏里多了个带锁的图标，域名的前缀也由原来的 HTTP 自动跳转为 HTTPS 开头。那么，这些网站为什么要进行调整？HTTPS 又代表着什么？

HTTP 是互联网上应用最为广泛的一种网络协议，通过使用 web 浏览器（如 ie、火狐、chrome 等），客户端发起到服务器上指定端口（默认端口为 80）的 HTTP 请求，从网站服务器获取超文本（文本、图像、声音等）到本地浏览器。通俗地讲，从输入域名，到网站内容显示到电脑屏幕，即完成一次 HTTP 请求的过程。

HTTPS 是以安全为目标的 HTTP 通道，简单说是 HTTP 的安全版。HTTPS 的安全基础是 ssl。HTTPS 协议的主要作用可以分为两种：一种是建立一个信息加密通道，来保证数据传输的安全；另一种是认证网站的真实性，预防钓鱼网站。

HTTP 协议传输的数据都是未加密的。比如你访问某网站，在经过如路由器、宽带接入商等中间环节时，搜索的关键字、账号密码等都是可见的，因此使用 HTTP 协议传输隐私信息极不安全。为了保证这些隐私数据能加密传输，于是设计了 ssl 协议用于对 HTTP 协议传输的数据进行加密，于是诞生了 HTTP。

简单来说，HTTPS 协议是由 ssl+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 http 协议安全性高。可以这样理解，客户端将数据加密后发给服务器，服务器解密后获得数据，反之亦然。在此过程中，数据通过密钥进行加密，这样即使中间环节劫持到内容也会因没有密钥无法破解。

在这个环节中，为了验证服务器是不是你所要访问的真实的服务器，需要第三方来检验，这个第三方叫 CA（certificateauthority，是数字证书认证中心的简称，作为独立的第三方，其职能是核实网站身份，保证获得证书的被授权者是网站所有者而不是冒充的个人或机构）。